“请求/响应”选项卡
“详细信息”窗格的第三个选项卡是“请求/响应”选项卡。
请求/响应选项卡提供了关于测试及其特定变体的信息,这些信息被发送到您的 Web 应用程序,以发现应用程序的弱点。一个测试可能有多个变体。变体与 AppScan 发送到 Web 应用程序服务器的原始测试请求稍有不同。(AppScan 首先发送一个合法并遵循应用程序业务逻辑的请求。然后会再发送相似请求,但是经过修改以发现应用程序如何处理非法或错误的请求。每个测试请求可能有多个变体;变体的数量需要足够覆盖扩展 AppScan 数据库中的所有安全规则。)
例如,假设发送一个测试以确保您已对特定参数实施了用户输入规则。一个变体可确保撇号是无效输入;另一个变体确保不允许使用引号。
变体本身以红色文本显示,验证(表示安全问题存在的响应部分)以黄色突出显示。
除了大量的解释信息,请求/响应选项卡还提供高级功能,以理解并使用扫描结果。
请求/响应选项卡具有两个窗格,每个窗格顶部自带工具栏。工具栏和选项卡如下所示,并在下表中进行概括。
工具 |
函数 |
|---|---|
Variant < > |
表示当前测试的变体数。 单击 < 和 > 图标,以相应切换到上一个和下一个变体。 |
测试/原始 |
在“原始”和“测试”信息之间切换。 |
下一突出显示 |
(突出显示验证文本时可用)。将光标移动到下一突出显示的文本。 |
在浏览器中显示 |
打开内置浏览器以显示当前页面,包含一个用于从浏览器中进行屏幕快照的选项。 浏览器打开时,您可以通过单击浏览器工具栏上的照相机图标 |
选项 > 报告误报 |
用于将当前变体通过电子邮件发送到 AppScan® 支持团队,或在贵企业内部发送。(请参阅报告误报测试结果。) |
选项 > 手动测试 |
修改测试并将其保存为 Manual Test。(请参阅手动测试。) |
选项 > 删除变体 |
从测试结果中永久删除所选变体(不可恢复)。这也可通过右键单击“结果”窗格中的变体来完成。 |
选项 > 设置为不易受攻击 |
将所选变体的定义更改为“不易受攻击”。 由用户更改为不易受攻击的肯定响应将从扫描结果中除去,将不再出现在报告中,但仍可通过“不易受攻击的变体”列表查看(和恢复)。(请参阅不易受攻击的变体列表。) |
选项 > 设置为错误页面 |
将当前页面添加到错误页面列表中(“扫描配置”对话框 >“错误页面”),并更新结果以反映此响应是错误页面的事实。 |
选项 > 添加到问题信息 |
在当前问题上运行“结果复审”,并将所有可用新信息添加到“问题信息”选项卡。 |
查找 |
输入文本以搜索特定字符串。(请参阅过滤结果列表中的安全问题。) |
变体详细信息 |
右侧窗格显示当前变体的详细信息:标识、描述、差异(此变体与原始请求之间的差异)、推理和 CWE 标识。 |
来创建该页面的截屏。此截屏将添加到“问题信息”选项卡。